戳穿木马黑客

受骗报警

2010年10月初，住在湖北省襄樊市襄阳区的刘女士匆匆来到襄阳区公安分局报警，称她在淘宝网上购化妆品时，点击店主发来的化妆品图片和介绍文字后，通过网上银行支付三百多元现金，可网站不仅没有如约给她发货，反而称没有收到她的现金，当她再与网店店主联系时，店主的电话已无法打通。

民警根据刘女士的报案，很快查明刘女士的钱系网上黑客从中截留骗走的。此后，襄阳区接二连三发生淘宝网客户受骗的情况，金额在300元至1000元不等，民警经过网上查询得知，这类黑客诈骗现象在北京、天津等大城市频繁发生，辽宁大连一天竟接到三十多起网络诈骗案。频繁发生的网络诈骗案引起了襄阳区公安分局领导的高度重视，指令民警立即立案侦查。

民警在网上发现利用购物网站诈骗方式主要有两种．一种是黑客模拟制作淘宝网的网页页面，利用淘宝网的漏洞链接到淘宝网，吸引客户在假淘宝网上购物，客户在购物时，不知不觉进入黑客设下的陷阱，购物付出现金被黑客从中截走。

第二种诈骗方式是前一种方式的升级版，黑客不再用模拟淘宝网的页面诈骗，而是在网上购买-个商铺后，注册进入淘宝网，并以极低的商品价格引诱客户购买，客户在购买过程中，不知不觉点击黑客发来的文字或图片链接，踩中木马陷阱，黑客从中截走客户现金。

侦破虚拟社会的网络诈骗与侦破现实社会中的刑事案有很大不同。网络上的名字和号码都是虚拟的，任何一方都不知道对方姓甚名谁，更不知道对方的其他真实情况。因此，民警除了知道报案者的真实身份外，很难查清其他受害人和网络黑客的真实身份。

转战千里

专案组民警经过多方走访受害人，10月中旬，终于锁定一个网上黑客“淘宝BHO”。此人是江苏淮安人，民警在侦查中发现，“淘宝BHO”在网上向人兜售“赚钱木马”，民警即与“淘宝BHO”联系购买，同时与江苏淮安警方联系抓捕“淘宝BHO”。

2010年11月3日上午，在江苏淮安市警方的协助下，襄阳公安分局民警顺利抓获“淘宝BHO”。他叫鹏鹏，只有19岁。

鹏鹏向警方交代，他2009年初中毕业后无业，吃穿靠父母，一直寻找赚钱的机会。2010年8月，他从网上看到一则广告，有人称在网上租木马可以赚钱。

出租木马的人在网上介绍说，租用他的木马，可以潜伏进淘宝网站，借机把木马植进客户的电脑，淘宝网客户购物的钱就能自动转入租木马人的帐户上。其操作流程是租木马人首先通过正常注册方式，购买一个正规店铺，并把这个店铺挂上淘宝网，店铺里的商品一定要新奇，而且价格极便宜，这样就能吸引更多的客户来购物。租木马人利用与客户联系的机会，发送商品图片或其它文件引诱客户点击链接，只要客户点击了图片或文字链接，木马就会在两秒钟内闪电植入客户电脑，其后客户付款时，木马就会把客户打往淘宝网支付平台的钱拦截下来，自动流入租木马人指定的帐户。

鹏鹏虽然没有多少文化，但对网络十分熟悉，他以每月2000元租了一个木马，按木马出租人所说的方式试用几天，果然一天就能赚到几千块钱。

尝到甜头的鹏鹏还觉得赚钱不快，就租用了3个木马，并转租给他的下线，下线赚的钱再与他五五分成。仅1个月时间，鹏鹏靠3个木马就诈骗到二十多万元。

那么，向鹏鹏出租木马的人是谁?抓获鹏鹏后，民警发现安徽蚌埠的两个犯罪嫌疑人也在利用木马在淘宝网上诈骗客户的钱财。11月23目，襄阳民警在安徽蚌埠民警的配合下，抓获了犯罪嫌疑人施雅兰和陈光明。

施雅兰向警方交代，他从2009年开始在淘宝网里实施诈骗，一年多时间，他先后骗得淘宝网客户十多万元。

陈光明是施雅兰的同乡，在施雅兰的拉拢下，陈光明先后在淘宝网上骗了七八千块钱。

抓获鹏鹏等人后，民警逐渐理出了淘宝网上这一诈骗团伙的脉络：木马制作者是老大，他是传销组织的顶级上线，只做木马出租赚钱，他的收入来自每个木马每月2000元的租金。鹏鹏是木马制作者的二级下线，这样的下线通常先租木马在淘宝网上骗钱，然后再从木马制作人那里租更多的木马，再发展第三级下线为他赚钱，每一个三级下线的收入都与上线五五分成。

一个多月，民警先后抓获了5名犯罪嫌疑人，这些人都有一个共同的上线，网名叫“codegeter”。

这个神秘的“codegeter”在哪里?他究竟发展了多少二级和三级下线?诈骗了多少网上购物者?

黑客“老大”

11月10日，襄阳民警千里追踪至贵阳市抓获了木马制作人“codegeter”郑亮。

郑亮今年21岁，初中毕业。自2010年9月开始制作淘宝木马到11月被抓获的一个多月时间里，他已发展了51个租户，获利三十多万元。据郑亮交代，他学会制作木马源于一个偶然因素。

去年9月，郑亮的女友在淘宝网上购买商品时，几百元购物款被黑客截走了。郑亮以前曾为一家电脑公司打过工，熟悉电脑知识。

女友的钱被潜伏在淘宝网里的黑客骗走后，郑亮调出女友网上购物的资料，很快查出淘宝网站的骗钱木马，并仔细研究了这个木马的各种功能。郑亮觉得用木马骗钱并不困难，他也可以编出一个木马程序到淘宝网上去骗别人的钱。

郑亮用几天时间制作了淘宝网的木马程序，然后在网上试用了T效果很好，郑亮觉得发财的机会到了。他在网上广告，以每个木马程序月租金2000元的价格向外招租。由于他的木马程序水平高，曾有人以20万元的价格购买他的木马程序源码，但郑亮不为所动，因为他的淘宝木马程序一个月可为他赚数十万元，他怎么舍得卖掉“摇钱树”呢。

此后，郑亮的主要工作就是在网上招租，为避免升级的杀毒软件破坏木马，他每隔一两天就要为他的木马程序进行技术更新，使不断更新的杀毒软件永远跟不上木马的更新速度。

贪婪的郑亮在日进万金的同时还不忘以卑劣的手段“黑”下线的钱。当租户在淘宝网站上诈骗的钱较多时，或者单笔金额较大时，郑亮就会用修改后台帐户的手段截留这些钱，打到自己的帐户上，如果客户反对，他就终止对方木马使用权。这样一来，郑亮一天就会增加三五千的收入。

“三不原则”

郑亮自以为他制作的淘宝木马隐蔽性强，外面人很难识别他的真实面目，其实，这只是他的一厢情愿。襄阳民警只用了不到一个月时间，就将其抓获了。

郑亮犯罪团伙虽然被打掉了，办案民警却无法轻松。民警根据手中现有的材料测算，按最保守的估计，郑亮及其下线诈骗淘宝网站客户的金额在200万元以上，而且，办案民警还发现，在一些购物网站上，像郑亮这样的木马制作者和租用传播牟利的犯罪团伙大有人在，其诈骗金额是一个难以想像的数字。只要在网上输入木马钓鱼等字，就会发现各种各样的网络诈骗，让购物网站和购物者防不胜防。

通过破获该案，办案民警向群众提出“三不原则”以防范黑客设置的木马陷阱。一：客户在网上与店主聊天时，一定不要点击店主发过来的任何链接。而要看清网址名称是不是淘宝网的正规域名，如果想看商品的颜色和款式，客户可以打开淘宝网站进入店铺查看商品。

第二：在与网站店主交谈中，一定不要打开店主发来的图片或其它文件，一旦点击文件，就可能将黑客的木马种植进客户的电脑。

第三：网上购物选择银行付款时，在没有看清所付款的公司前，一定不要点击确认。

(文中犯罪嫌疑人为化名，谢绝网载和转摘)